Avisos de seguridad
Utiliza los avisos de seguridad (security advisories) para informar y estar informado sobre las vulnerabilidades de seguridad en los paquetes de Dart.
Los avisos de seguridad son un medio para informar sobre vulnerabilidades de seguridad. Pub utiliza la GitHub Advisory Database para publicar avisos de seguridad para paquetes de Dart y Flutter.
Para crear un aviso en tu repositorio de GitHub, usa el mecanismo de reporte de avisos de seguridad de GitHub como se explica en la documentación de GitHub sobre Cómo crear un aviso de seguridad de repositorio. Primero creas un borrador de aviso de seguridad, el cual luego será revisado por GitHub e ingresado en la base de datos central de avisos.
Avisos de seguridad en el cliente pub
#El cliente pub muestra avisos de seguridad al resolver dependencias.
Por ejemplo, al ejecutar dart pub get obtendrás la siguiente salida:
dart pub get
Resolving dependencies...
http 0.13.0 (affected by advisory: [^0], 1.2.0 available)
Got dependencies!
Dependencies are affected by security advisories:
[^0]: https://github.com/advisories/GHSA-4rgh-jx4f-qfcq
Si la resolución identifica un aviso, el equipo de Dart te recomienda visitar el enlace y revisar el aviso. Si evalúas que la vulnerabilidad afecta a tu paquete, deberías considerar seriamente actualizar a una versión no afectada de la dependencia.
Ignorar avisos de seguridad
#Si un aviso de seguridad no es relevante para tu aplicación,
puedes suprimir la advertencia agregando el identificador del aviso a
la lista ignored_advisories
en el pubspec.yaml de tu paquete.
Por ejemplo, lo siguiente ignora el aviso
con el identificador GHSA GHSA-4rgh-jx4f-qfcq:
name: myapp
dependencies:
foo: ^1.0.0
ignored_advisories:
- GHSA-4rgh-jx4f-qfcq
La lista ignored_advisories solo afecta al paquete raíz. Los avisos
ignorados en tus dependencias no tendrán ningún efecto en la resolución del paquete
para tu propio paquete.
A menos que se indique lo contrario, la documentación en este sitio refleja Dart 3.12.2. Página actualizada por última vez el 20-02-2024. Ver fuente oreportar un problema.